1. Principales Vulnerabilidades y Filtraciones de la semana

2. Vulnerabilidad ZeroDay en WinRAR se explota para instalar malware en la extracción de archivos

3. CAPTCHA falso utilizado en un nuevo ataque ClickFix para desplegar una carga útil de malware

4. Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥Un troyano chino infecta miles de móviles Android en España con anuncios de Meta (Noticia)

La amenaza del malware en Android da un nuevo paso con la aparición de PlayPraetor, un troyano de acceso remoto (RAT) que ha logrado infectar más de 11.000 móviles en tan solo unos meses. Descubierto por investigadores de Cleafy y documentado inicialmente por CTM360 en marzo de 2025, este malware está siendo desplegado a gran escala a través de anuncios en redes sociales de Meta y páginas falsas que imitan la tienda Google Play.

💥Google confirma que una filtración de datos ha expuesto la información de posibles clientes de Google Ads. (Noticia)

“Le escribimos para informarle de un incidente que ha afectado a un conjunto limitado de datos en una de las instancias corporativas de Salesforce de Google utilizadas para comunicarse con posibles clientes de Ads. Nuestros registros indican que la información de contacto comercial básica y las notas relacionadas se vieron afectadas por este incidente”

💥La vulnerabilidad de las cámaras web Lenovo basadas en Linux puede ser explotada de forma remota para ataques BadUSB. (Noticia)

«Esto permite a los atacantes remotos inyectar pulsaciones de teclas de forma encubierta y lanzar ataques independientemente del sistema operativo del host», afirmaron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael. Los hallazgos se han presentado hoy en la conferencia de seguridad DEF CON 33.

💥Se pueden manipular las claves del Registro de BitLocker a través de WMI para ejecutar código malicioso como usuario interactivo. (Noticia)

Una novedosa técnica de movimiento lateral que aprovecha la funcionalidad del Modelo de Objetos Componentes (COM) de BitLocker para ejecutar código malicioso en los sistemas objetivo. Esta técnica, demostrada a través de la herramienta de prueba de concepto BitLockMove, representa una sofisticada evolución en las tácticas de movimiento lateral que elude los mecanismos de detección tradicionales al tiempo que aprovecha los componentes legítimos de Windows.

Vulnerabilidad ZeroDay en WinRAR se explota para instalar malware en la extracción de archivos

Una vulnerabilidad de WinRAR recientemente corregida, identificada como CVE-2025-8088, fue explotada como un ataque ZeroDay y en ataques de phishing para instalar el malware RomCom.

La falla es una vulnerabilidad de traversal de directorios que se corrigió en WinRAR 7.13, lo que permite que archivos comprimidos especialmente diseñados extraigan archivos en una ruta de archivo seleccionada por el atacante.

«Al extraer un archivo, las versiones anteriores de WinRAR, las versiones de Windows de RAR, UnRAR, el código fuente portátil de UnRAR y UnRAR.dll pueden ser engañadas para que utilicen una ruta, definida en un archivo especialmente diseñado, en lugar de la ruta especificada por el usuario», se lee en el registro de cambios de WinRAR 7.13.

Aprovechando esta vulnerabilidad, los atacantes pueden crear archivos que extraen ejecutables en rutas de ejecución automática, como la carpeta de inicio de Windows ubicada en:

• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)

• %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

La próxima vez que un usuario inicie sesión, el ejecutable se ejecutará automáticamente, lo que permitirá al atacante ejecutar código de forma remota.

Dado que WinRAR no incluye una función de actualización automática, se recomienda encarecidamente a todos los usuarios que descarguen e instalen manualmente la última versión desde win-rar.com para protegerse de esta vulnerabilidad.

Noticia

CAPTCHA falso utilizado en un nuevo ataque ClickFix para desplegar una carga útil de malware

ClickFix, que comenzó como una herramienta de simulación de equipo rojo en septiembre de 2024, se ha convertido rápidamente en un sistema de distribución de malware muy extendido que supera a sus predecesores, como el fraude de actualización falsa del navegador ClearFake.

Esta variante de «CAPTCHAgeddon» aprovecha la infraestructura de confianza, lo que permite infecciones drive-by y spear-phishing, lo que da lugar a la implementación generalizada de infostealers como Lumma, que extraen credenciales y datos de forma transparente.

La propagación de ClickFix se ha diversificado, pasando de la publicidad maliciosa en redes sospechosas dirigidas a sitios de streaming y software a infiltrarse en plataformas WordPress comprometidas con altos rankings SEO, donde se superponen CAPTCHAs falsos sobre contenido legítimo, activados por las interacciones de los usuarios para una integración natural.

Técnicamente, la evasión gira en torno a comandos PowerShell ofuscados que utilizan mutaciones de mayúsculas y minúsculas (por ejemplo, PoWeRsHeLL), trucos ASCII y carga dinámica de scripts desde los servidores de los atacantes, eludiendo los escáneres estáticos.

Las cargas útiles se incrustan en archivos de aspecto legítimo, como socket.io.min.js, en CDN falsos, o abusan de Google Scripts para el alojamiento en dominios de confianza, lo que reduce las sospechas y elude los filtros.

Noticia

Balance de ciberataques de la semana

⚠️ 222 ciberataques en 35 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 73 ciberataque

➡️​Alemania es el país más afectado con 57 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 33% de los incidentes y 74 ciberataques.

➡️​Ciberataques críticos estimados en 29 (12% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 9 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones